Comment protéger Windows 10 et 11 contre les ransomwares. Les ransomwares sont répandus, mais les particuliers et les administrateurs peuvent protéger leurs ordinateurs Windows 10 et 11 de plusieurs manières. Voici ce qu'il faut faire.
Cryptolocare. Je te veux. Le côté obscur. Conti. Casier Méduse. La menace du rançongiciel ne disparaîtra pas presque ; Les nouvelles apportent des rapports constants sur de nouvelles vagues de ce type de malware malveillant se propageant dans le monde entier. Il est populaire en grande partie à cause du gain financier immédiat des attaquants : il fonctionne en cryptant les fichiers sur votre disque dur, puis en vous obligeant à payer une rançon, souvent en bitcoin ou autre crypto-monnaie, pour les décrypter.
Mais vous n'avez pas à être une victime. Les utilisateurs de Windows 10 et 11 peuvent faire beaucoup pour s'en protéger. Dans cet article, je vais vous montrer comment vous protéger, y compris comment utiliser l'outil anti-ransomware Windows intégré.
(Administrateurs, consultez « Ce que votre service informatique doit savoir sur les rançongiciels et Windows » à la fin de cet article.)
Cet article suppose que vous prenez déjà des précautions de base contre les logiciels malveillants en général, notamment en exécutant un logiciel anti-malware et en ne téléchargeant jamais de pièces jointes ou en cliquant sur des liens dans des e-mails provenant d'expéditeurs inconnus et des e-mails qui semblent suspects. Notez également que cet article a été mis à jour pour la mise à jour Windows 10 novembre 2021 (version 21H2) et la mise à jour Windows 11 octobre 2021 (version 21H2). Si vous aviez une version antérieure de Windows 10, certaines choses pourraient être différentes.
Utiliser l'accès contrôlé aux dossiers
Microsoft se soucie suffisamment des ransomwares pour avoir créé un outil anti-ransomware facile à configurer directement dans Windows 10 et Windows 11. Appelé Controlled Folder Access, il vous protège en autorisant uniquement des applications sûres et entièrement approuvées à accéder à vos fichiers. Le passage d'applications inconnues ou de menaces de logiciels malveillants connus n'est pas autorisé.
Par défaut, la fonctionnalité n'est pas activée, donc si vous voulez vous protéger contre les ransomwares, vous devrez lui dire de commencer à fonctionner. Vous pouvez personnaliser exactement son fonctionnement en ajoutant de nouvelles applications à la liste blanche des programmes ayant accès aux fichiers et en ajoutant de nouveaux dossiers en plus des dossiers que vous protégez par défaut.
Pour l'exécuter, vous aurez besoin d'accéder à la sécurité Windows. Il existe plusieurs façons d'y accéder dans Windows 10 et Windows 11 :
- Cliquez sur la flèche vers le haut sur le côté gauche de la barre des tâches, puis cliquez sur l'icône Sécurité Windows - un bouclier.
- Cliquez Démarrer > Paramètres Pour ouvrir l'application Paramètres, puis sélectionnez Mise à jour et sécurité > Sécurité Windows Sous Windows 10 ou Confidentialité et sécurité > Sécurité Windows Dans Windows 11.
- Utilisez la recherche Windows. Dans Windows 10, la zone de recherche est située dans la barre des tâches à côté du bouton Démarrer. Sous Windows 11, cliquez sur l'icône de recherche dans la barre des tâches pour ouvrir le volet de recherche. Taper sécurité windows dans le champ de recherche suivant et sélectionnez sécurité windows Des résultats.
Dans Sécurité Windows, sélectionnez Protection contre les virus et les risques . Faites défiler jusqu'à la section Protection contre les ransomwares et cliquez sur Département de protection contre les ransomwares . Dans l'écran qui apparaît, sous Contrôler l'accès au dossier, basculez le commutateur sur Courir . Vous recevrez une invite vous demandant si vous souhaitez effectuer la modification. Cliquez sur "Oui" .
Vous ne devriez pas en rester là et vous sentir en sécurité pour l'instant, car il est possible que vous ayez des dossiers que vous souhaitez protéger et que la fonctionnalité les ignore. Par défaut, il protège les dossiers système de Windows (et les dossiers en dessous) comme C:\Users\ UserName \ Documents , où UserName C'est votre nom d'utilisateur Windows. En plus des documents, les dossiers système de Windows incluent le bureau, la musique, les images et les vidéos.
Mais tous vos autres dossiers sont un jeu équitable pour tout rançongiciel qui se rend sur votre ordinateur. Ainsi, si vous utilisez le stockage cloud OneDrive de Microsoft, par exemple, tous les dossiers et fichiers OneDrive de votre ordinateur ne sont pas protégés. Étant donné que Microsoft essaie de déplacer tout le monde vers OneDrive, c'est une omission surprenante.
Pour ajouter des dossiers que vous souhaitez protéger, cliquez sur le lien Dossiers protégés qui s'affiche une fois que vous avez activé l'accès contrôlé aux dossiers. Une invite s'affiche vous demandant si vous souhaitez effectuer la modification. Cliquez sur "Oui" . Cliquez sur le bouton ajouter un dossier protégé” en haut de la liste des dossiers protégés qui s'affiche, puis à partir de l'écran qui s'affiche jusqu'au dossier que vous souhaitez protéger et touchez "sélectionner le dossier" .
Continuez à ajouter des dossiers de cette façon. N'oubliez pas que lorsque vous ajoutez un dossier, tous les dossiers qu'il contient sont également protégés. Ainsi, si vous ajoutez OneDrive, par exemple, il n'est pas nécessaire d'ajouter tous les dossiers en dessous.
(Remarque : Selon votre version de OneDrive, vous pourrez peut-être restaurer des fichiers OneDrive, même si vous ne les contrôlez pas en accédant au dossier contrôlé. Pour plus de détails, consultez la documentation de Microsoft" Récupérer des fichiers ou des dossiers supprimés dans OneDrive »).
Si, à tout moment, vous décidez de supprimer un dossier, revenez à l'écran Dossiers protégés, appuyez sur le dossier que vous souhaitez supprimer, puis appuyez sur Supprimer . Notez que vous ne pourrez supprimer aucun des dossiers système Windows protégés lorsque la fonctionnalité est activée. Vous ne pouvez supprimer que ceux que vous avez ajoutés.
Microsoft détermine quelles applications doivent être autorisées à accéder aux dossiers protégés, et sans surprise parmi elles se trouve Microsoft Office. Microsoft n'a pas publié de liste d'applications autorisées. Pensez donc à prendre des mesures pour autoriser les applications de confiance à accéder à vos fichiers.
Pour ce faire, revenez à l'écran où vous avez activé l'accès contrôlé aux dossiers et appuyez sur Autoriser une application à avoir un accès contrôlé au dossier . Une invite s'affiche vous demandant si vous souhaitez effectuer la modification. Cliquez sur "Oui" . Dans l'écran qui s'affiche, appuyez sur Ajouter une application autorisée , accédez au fichier exécutable du programme que vous souhaitez ajouter, puis cliquez sur فتح , puis confirmez que vous souhaitez ajouter le fichier. Comme pour l'ajout de dossiers à la liste des dossiers protégés, vous pouvez supprimer l'application en revenant à cet écran, en cliquant sur l'application que vous souhaitez supprimer, puis en cliquant sur Supprimer .
Astuce : Si vous n'êtes pas sûr de l'emplacement des fichiers exécutables des programmes que vous souhaitez ajouter à la liste blanche, recherchez le nom du dossier avec le nom du programme dans les dossiers Windows\Program Files ou Windows\Program Files (x86) , puis recherchez un exécutable dans ce vol.
Faites une sauvegarde... mais faites-le correctement
L'intérêt du ransomware est de garder vos fichiers en otage jusqu'à ce que vous payiez pour les déverrouiller. L'une des meilleures méthodes de protection contre les ransomwares consiste donc à sauvegarder vos fichiers. De cette façon, il n'est pas nécessaire de payer la rançon, car vous pouvez facilement restaurer vos fichiers à partir d'une sauvegarde.
Mais en ce qui concerne les ransomwares, toutes les sauvegardes ne sont pas égales. Vous devez être prudent lorsque vous choisissez la bonne technologie et le bon service de sauvegarde. C'est une bonne idée d'utiliser le stockage en nuage et le service de sauvegarde plutôt que de simplement sauvegarder sur un lecteur connecté à votre ordinateur. Si vous sauvegardez sur un lecteur connecté à votre ordinateur, lorsque votre ordinateur est infecté par un rançongiciel, le lecteur de sauvegarde sera probablement chiffré avec tous les autres disques à l'intérieur ou connectés à votre ordinateur.
Assurez-vous que votre stockage et votre sauvegarde basés sur le cloud utilisent la version, c'est-à-dire qu'ils conservent non seulement la version actuelle de chacun de vos fichiers, mais également la version précédente. De cette façon, si la dernière version de vos fichiers est infectée, vous pouvez restaurer à partir des versions précédentes.
La plupart des services de sauvegarde et de stockage, y compris Microsoft OneDrive, Google Drive, Carbonite, Dropbox et bien d'autres, utilisent la version. C'est une bonne idée de se familiariser avec la fonctionnalité de gestion des versions du service que vous utilisez actuellement, afin de pouvoir restaurer facilement des fichiers en un clin d'œil.
Bénéficiez d'une protection gratuite contre les ransomwares
Tout programme anti-malware comprend des protections anti-ransomware intégrées, mais il existe de nombreux programmes qui promettent de cibler spécifiquement les ransomwares. Un certain nombre d'entre eux sont payants, mais il existe également des options gratuites, comme celles que je liste ici.
Offres Bitdefender Des outils de décryptage gratuits qui peuvent déverrouiller vos données Si vous êtes attaqué par un rançongiciel et que la rançon est conservée. Ils ne peuvent déchiffrer que les données qui ont été chiffrées à l'aide de certaines parties ou familles de rançongiciels, notamment REvil/Sodinokibi, DarkSide, MaMoCrypt, WannaRen et bien d'autres. Kaspersky propose un programme Anti-ransomware gratuit Pour les utilisateurs domestiques et professionnels, bien qu'il existe des restrictions sur le nombre d'appareils que vous pouvez utiliser.
rester correct
Microsoft publie régulièrement des correctifs de sécurité pour Windows 10 et Windows 11, et ils sont appliqués automatiquement via Windows Update. Mais si vous entendez parler d'épidémies de ransomwares, n'attendez pas que Windows Update s'exécute - vous devriez obtenir la mise à jour vous-même immédiatement afin d'être protégé dès que possible. Et ce ne sont pas seulement les mises à jour Windows que vous souhaitez obtenir. Vous voulez également vous assurer que Windows Security, l'outil anti-malware intégré de Microsoft, dispose des dernières définitions anti-malware.
Pour faire les deux dans Windows 10, accédez à Paramètres > Mise à jour et sécurité > Windows Update Et cliquez sur le bouton Vérifier les mises à jour . Dans Windows 11, accédez à Paramètres > Mise à jour Windows Et cliquez sur le bouton Vérifier les mises à jour . (Si des mises à jour vous attendent déjà, vous les verrez répertoriées au lieu d'un bouton Vérifier les mises à jour .) Si Windows trouve des mises à jour, il les installe. S'il nécessite un redémarrage, il vous le dira.
Non seulement vous devez vous soucier du fait que Windows reste patché, mais aussi d'autres programmes. Si vous utilisez un logiciel anti-malware autre que Windows Security, assurez-vous que celui-ci et ses définitions de malware sont à jour.
Les autres logiciels de votre ordinateur doivent également être mis à jour. Vérifiez donc comment chaque logiciel est mis à jour et assurez-vous que chaque partie est mise à jour régulièrement.
Désactiver les macros dans Microsoft Office
Les rançongiciels peuvent se propager Via des macros dans les fichiers Office , vous devez donc l'éteindre pour être en sécurité. Microsoft le désactive maintenant par défaut, mais cela ne signifie pas nécessairement qu'il est désactivé dans votre version d'Office, selon le moment où vous l'avez installé et si vous l'avez mis à jour. Pour le désactiver, lorsque vous êtes dans une application Office, sélectionnez Fichier > Options > Centre de gestion de la confidentialité > Paramètres du centre de gestion de la confidentialité et sélectionnez soit Désactiver toutes les macros de notification ou Désactiver toutes les macros sans préavis . Si vous les désactivez avec une notification, lorsque vous ouvrirez le fichier, vous recevrez un message vous avertissant que les macros sont désactivées et vous permettant de les exécuter. Ne l'exécutez que si vous êtes absolument sûr qu'il provient d'une source sûre et fiable.
Ce que votre service informatique doit savoir sur les rançongiciels et Windows
Le service informatique peut faire beaucoup pour protéger les entreprises des ransomwares. Le plus évident : appliquez les derniers correctifs de sécurité non seulement à tous les ordinateurs de l'entreprise, mais également à tous les serveurs et à tous les autres appareils au niveau de l'entreprise.
Ce n'est que le début. Votre service informatique doit désactiver le protocole réseau Windows SMB1 qui est connu pour être non sécurisé. De multiples attaques de rançongiciels se sont propagées sur un protocole vieux de 30 ans ; Même Microsoft dit que personne ne devrait jamais l'utiliser.
La bonne nouvelle est que Windows 1709 version 10, sorti en octobre 2017, s'est enfin débarrassé de SMB1. (Ce n'est pas non plus dans Windows 11.) Mais ce n'est que pour les ordinateurs avec une nouvelle installation de la version 1709 ou ultérieure, y compris les nouveaux qui sont sortis depuis. Les anciens ordinateurs qui ont été mis à jour à partir de versions précédentes de Windows ont toujours le protocole intégré.
Il existe plusieurs endroits où votre service informatique peut se rendre pour obtenir de l'aide pour le désactiver. Un bon point de départ est Document sur les meilleures pratiques de sécurité pour les petites et moyennes entreprises De US-CERT, exploité par le département américain de la sécurité intérieure. Il recommande de désactiver SMB1, puis de "bloquer toutes les versions de SMB sur les limites du réseau en bloquant le port TCP 445 avec les protocoles associés sur les ports UDP 137-138 et le port TCP 139, pour tous les périphériques de bordure".
Article avancé du support Microsoft » Comment détecter, activer et désactiver SMBv1, SMBv2 et SMBv3 sous Windows Détails sur la façon de désactiver le protocole. Il recommande de tuer SMB1 tout en gardant SMB2 et SMB3 actifs, et de ne les désactiver que pour un dépannage temporaire. Pour obtenir les dernières informations détaillées sur la désactivation de SMB1, accédez à l'article Microsoft TechNet » Désactiver SMB v1 dans les environnements gérés à l'aide de la stratégie de groupe . »
Les administrateurs peuvent utiliser la fonction de contrôle d'accès aux dossiers (abordée plus haut dans cet article) pour empêcher les rançongiciels de chiffrer les fichiers et les dossiers des ordinateurs avec Windows 11 ou Windows 10 version 1709 ou ultérieure. Ils peuvent utiliser la console de gestion des stratégies de groupe, le Centre de sécurité Windows ou PowerShell pour activer l'accès contrôlé aux dossiers pour les utilisateurs du réseau, personnaliser les dossiers à protéger et autoriser des applications supplémentaires à accéder à des dossiers autres que les paramètres par défaut de Microsoft. Pour obtenir des instructions, accédez à l'article de Microsoft " Activer l'accès contrôlé au dossier "pour l'allumer, et pour" Personnaliser l'accès contrôlé au dossier Personnalisez les dossiers à protéger et les applications pour autoriser le trafic.
Un problème potentiel lié au contrôle de l'accès aux dossiers est qu'il peut empêcher les applications que les utilisateurs utilisent habituellement d'accéder aux dossiers. Microsoft recommande donc d'utiliser d'abord le mode audit, pour voir ce qui se passera lorsque vous activerez le contrôle d'accès aux dossiers. Pour plus d'informations sur la procédure à suivre, consultez la documentation. Évaluation de la protection contre les exploits De Microsoft.
Comme mentionné ci-dessus, les macros Office peuvent propager des ransomwares. Microsoft bloque désormais les macros téléchargées depuis Internet par défaut, mais pour être sûr, le service informatique doit utiliser la stratégie de groupe pour les bloquer. Pour obtenir des conseils sur la façon de procéder, consultez la section " Bloquer l'exécution de macros dans les fichiers Office à partir d'Internet Dans la documentation Microsoft Les macros seront bloquées sur Internet par défaut dans Office "et à" Aider les utilisateurs à rester en sécurité : bloquer les macros Internet par défaut dans une publication Blog du bureau".
Un dernier mot
La bonne nouvelle dans tout cela : Windows 10 et Windows 11 ont des fonctionnalités anti-ransomware spécifiques intégrées. Suivez les conseils que nous avons expliqués ici pour prévenir la menace de ransomware.
